X.509-Zertifikate im Detail
Wenn du in deinem Browser auf das Schloss-Symbol klickst und dann „Zertifikat anzeigen" wählst, siehst du ein X.509-Zertifikat. Es sieht auf den ersten Blick wie ein Haufen kryptischer Felder aus – aber jedes Feld hat eine klare Bedeutung. X.509 ist der internationale Standard für den Aufbau digitaler Zertifikate, definiert von der ITU-T, und wird überall eingesetzt: bei HTTPS, VPN, E-Mail-Signatur, Code-Signing und vielem mehr.
Das Wichtigste vorab: Ein X.509-Zertifikat ist nichts Geheimnisvolles. Es ist im Prinzip ein öffentliches Dokument – jeder darf es lesen. Der kritische Teil ist der private Schlüssel, der dazugehört und niemals im Zertifikat steht. Das Zertifikat enthält nur den öffentlichen Schlüssel.
1) Aufbau eines X.509-Zertifikats – interaktiv erklärt
Ein Zertifikat besteht aus definierten Feldern, die alle einen RFC-standardisierten Namen haben. Besonders wichtig für die Praxis sind das Subject (für wen gilt das Zertifikat?), der Issuer (wer hat es ausgestellt?), die Gültigkeitsdaten und die Signatur. Klicke unten auf ein Feld, um eine Erklärung in einfacher Sprache zu sehen:
2) Dateiformat-Dschungel: PEM, DER, PFX, CRT
Zertifikate kommen in verschiedenen Dateiformaten. Das ist für viele Azubis eine echte Verwirrungsquelle – aber der Inhalt ist meist derselbe, nur die Verpackung unterscheidet sich. Ein Zertifikat ist immer eine Folge von Bytes; die Frage ist nur, wie diese Bytes kodiert und in welcher Datei abgelegt werden.
-----BEGIN CERTIFICATE-----. Lesbar mit Texteditor. Kann Zertifikat, privaten Schlüssel und Zertifikatskette enthalten.openssl x509 -in cert.pem -outform DER -out cert.der oder openssl pkcs12 -export -in cert.pem -inkey key.pem -out bundle.pfx.3) Zertifikat selbst lesen mit OpenSSL
In der Praxis musst du oft prüfen was in einem Zertifikat steht – zum Beispiel ob das Ablaufdatum naht oder ob der SAN-Eintrag für deinen Hostnamen korrekt ist. OpenSSL ist das universelle Werkzeug dafür, verfügbar auf Linux, macOS und (über WSL oder Git Bash) auch auf Windows.
| Befehl | Was er zeigt |
|---|---|
openssl x509 -in cert.pem -text -noout | Alle Felder des Zertifikats lesbar ausgeben |
openssl x509 -in cert.pem -dates -noout | Nur NotBefore und NotAfter |
openssl x509 -in cert.pem -subject -noout | Nur Subject/CN |
openssl s_client -connect host:443 2>/dev/null | openssl x509 -text | Zertifikat eines live Servers anzeigen |
openssl req -in csr.pem -text -noout | Inhalt eines CSR prüfen |
Zusammenfassung
X.509 ist der Standard für digitale Zertifikate. Wichtigste Felder: Subject (für wen), Issuer (von wem), NotBefore/NotAfter (Gültigkeit), SANs (Hostnamen), Public Key, Signature. Dateiformate: PEM (lesbar, häufigste), DER (binär), PFX (Bundle mit privatem Schlüssel). OpenSSL ist das Standardwerkzeug zum Lesen und Konvertieren.